Sistema ruso de alojamiento a prueba de balas atacado por hackers para difundir malware.
Los ciberdelincuentes están utilizando Proton66 para diversas actividades.
Investigaciones recientes han señalado que Proton66, un proveedor ruso de servicios de hosting a prueba de balas, está siendo utilizado para la distribución de malware, ransomware y ataques de phishing. Según los expertos de Trustwave, esta actividad maliciosa ha aumentado considerablemente en las últimas semanas, con un notable incremento en el escaneo masivo y en los intentos de explotación de vulnerabilidades desde el 8 de enero de 2025.
Los investigadores de SpiderLabs informaron que aunque antes se habían detectado actividades maliciosas, la reciente oleada y posterior descenso abrupto en febrero de 2025 han sido particularmente destacados. Se identificaron direcciones IP comprometidas que están intentando explotar diversas vulnerabilidades, incluyendo una falla de bypass de autenticación en el sistema PAN-OS de Palo Alto Networks y defectos en varios sistemas de Mitel, D-LINK y Fortinet.
Las vulnerabilidades de FortiOS, en específico, ya habían sido aprovechadas por motivaciones maliciosas previamente y están relacionadas con un nuevo tipo de ransomware denominado SuperBlack. Además, se reveló que varias familias de malware, como GootLoader y SpyNote, operan sus servidores de comando y control en Proton66, mientras que XWorm, StrelaStealer y otro ransomware llamado WeaXor también están siendo propagados a través de esta plataforma.
Adicionalmente, se ha mencionado que delincuentes están utilizando sitios de WordPress comprometidos, asociados a direcciones IP enlazadas con Proton66, para redirigir a los usuarios de Android a páginas de phishing que imitan las listas de aplicaciones de Google Play, intentando engañar a los usuarios para que descarguen malware.
Para reducir riesgos frente a amenazas vinculadas a Proton66, se recomienda bloquear todos los rangos CIDR asociados a la empresa y a Chang Way Technologies, un proveedor de Hong Kong que parece estar relacionado con Proton66. Aunque el hosting a prueba de balas es promocionado como inmune a intervenciones legales, la situación puede cambiar rápidamente, especialmente en el contexto geopolítico actual.
